近日�,國外安全研究人員捕獲到一款名為Seon的勒索病毒�����,并且發(fā)現(xiàn)攻擊者通過Bizarro Sundown(GreenFlash)漏洞利用工具包進行傳播����,該漏洞利用工具包常被用于傳播各類勒索病毒如GandCrab、Locky�����、Hermes等��。Seon勒索病毒使用AES算法加密文件�,修改文件后綴為 .FIXT,加密完成后彈出hta窗口與用戶交互索要贖金。
勒索特征
1.加密文件后綴.FIXT:
2.勒索信息:
詳細分析
1.首先生成AES密鑰����,存放在注冊表HKEY_CURRENT_USER\Software\GNU\Display -> windowData中:
2.通過ASM獲取CUP信息:
3.遍歷磁盤,在每個目錄下釋放勒索信息txt文件:
4.遍歷時會判斷文件的類型���,避開加密包含如下字符或類型的文件:
runas,bootsect.bak,ntuser.ini,thumbs.db,your_files_are_encrypted.txt,ntldr,iconcache.db,desktop.ini,ntuser.dat.log,bootfont.bin,ntuser.dat,boot.ini,autorun.inf,system,volume,information,programdata,application,data,$windows.~bt,program,files,tor,browser,windows,mozilla,appdata,windows.old,program,files,(x86),$recycle.bin,google,boot,mod,adv,dll,msstyles,mpa,nomedia,ocx,cmd,ps1,themepack,sys,prf,diagcfg,cab,ldf,diagpkg,icl,386,ico,cur,ics,ani,bat,com,rtp,diagcab,nls,msc,deskthemepack,idx,msp,msu,cpl,bin,shs,wpx,icns,exe,rom,theme,hlp,spl,fixt,lnk,scr,drv
5.不在忽略的類型和文件中,便使用AES算法對文件進行加密:
6.加密完成后在Temp目錄下釋放startb.bat并運行�,內(nèi)容經(jīng)過base64解密后是用于刪除磁盤卷影和備份的bat命令���,用于防止恢復(fù)備份:
7.在Temp目錄下釋放readme.hta文件����,內(nèi)容經(jīng)過base64解密后是勒索信息���,通過mshta.exe彈出:
解決方案
針對已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶���,由于暫時沒有解密工具�����,建議盡快對感染主機進行斷網(wǎng)隔離����。深信服提醒廣大用戶盡快做好病毒檢測與防御措施�,防范該病毒家族的勒索攻擊。
病毒檢測查殺
1����、深信服為廣大用戶免費提供查殺工具,可下載如下工具����,進行檢測查殺。
64位系統(tǒng)下載鏈接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統(tǒng)下載鏈接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
深信服安全團隊再次提醒廣大用戶����,勒索病毒以防為主,目前大部分勒索病毒加密后的文件都無法解密�,注意日常防范措施:
1、及時給電腦打補丁�,修復(fù)漏洞(包括Internet Explorer內(nèi)存損壞漏洞CVE-2016-0189�����、Flash類型混淆漏洞CVE-2015-7645�����、Flash越界讀取漏洞CVE-2016-4117)�����。
2、對重要的數(shù)據(jù)文件定期進行非本地備份�。
3、不要點擊來源不明的郵件附件���,不從不明網(wǎng)站下載軟件��。
4�、盡量關(guān)閉不必要的文件共享權(quán)限����。
5、更改賬戶密碼���,設(shè)置強密碼����,避免使用統(tǒng)一的密碼,因為統(tǒng)一的密碼會導(dǎo)致一臺被攻破�,多臺遭殃。
6�、如果業(yè)務(wù)上無需使用RDP的,建議關(guān)閉RDP�。
轉(zhuǎn)載來自FreeBuf.COM
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
